Datalek GGD GHOR
29 januari 2021 – Nederland
Uit een onderzoek van RTL Nieuws is gebleken dat er op grote schaal gehandeld is in gestolen gegevens uit de computersystemen van de GGD. Het is niet duidelijk hoeveel persoonsgegevens illegaal verhandeld zijn. Medewerkers hebben aangegeven al maandenlang vrije toegang gehad te hebben tot privégegevens, zoals BSN-nummers, NAW-gegevens en testuitslagen van miljoenen Nederlanders. Testuitslagen werden zelfs onder medewerkers via WhatsApp uitgewisseld. Ondanks dat dit door interne medewerkers onder de aandacht werd gebracht, zijn deze signalen door de GGD niet serieus genomen.
De verstrekte autorisatie, waardoor een grote hoeveelheid medewerkers toegang had tot de gegevens, is een bewuste keuze geweest. De noodzakelijkheid van deze toegang is niet goed genoeg getoetst. De motivatie erachter was volgens de GGD het vergroten van de slagkracht van de operatie. Er konden sneller testafspraken gepland worden of uitslagen worden doorgegeven. “Als niemand bij de gegevens kan, kun je ook niet snel genoeg werken”, aldus GGD-voorzitter André Rouvoet.
Het beperken van rechten wil echter niet zeggen dat niemand meer bij de gegevens kan, het is afhankelijk van de noodzakelijkheid. Waarom een bepaalde keuze is gemaakt m.b.t. het geven van autorisatie dient getoetst en goed gedocumenteerd te worden.
Genomen acties vanuit de GGD:
De GGD geeft aan “zo snel mogelijk” te stoppen met het gebruik van de software. Ze zijn op dit moment met man en macht aan het werken aan de overstap naar een ander, veel veiliger portaal. Daarnaast is nu ingezet op het monitoren van welke medewerkers gebruik maken van welke gegevens. Dat gebeurde tot nu toe alleen “steekproefsgewijs”.
Gevolgen voor de betrokkenen:
Volgens de fraudehelpdesk zijn de gestolen gegevens al tientallen keren gebruikt door criminelen. Zo kunnen ze gerichte phishing aanvallen uitvoeren en ook identiteitsfraude wordt niet uitgesloten.
Volgens de overheid (https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/basisregistraties-en-stelselafspraken/beheervoorziening-bsn/het-bsn-in-relatie-tot-de-datadiefstal-bij-de-ggd/) is de kans op identiteitsfraude echter relatief klein. De stelling die de overheid inneemt, is dat een BSN een zogenaamd “informatieloos” nummer is, dat alleen door de overheid wordt gebruikt bij de verwerking van persoonsgegevens en in contact met de burger. AP deelt deze stelling niet en geeft aan dat onzorgvuldig gebruik van het BSN privacy risico’s met zich meebrengt, zoals misbruik van persoonsgegevens en identiteitsfraude.
Het BSN staat aangemerkt in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) Artikel 46 als een gevoelig gegeven welke strengere maatregelen verdient dan een “gewoon” persoonsgegeven. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk bepaald is. Dit geldt bijvoorbeeld voor zorgverleners en het onderwijs.
GGD GHOR heeft zelf al een waarschuwing gepubliceerd op haar website waarin staat dat:
1. De GGD nooit onaangekondigd aan de deur komt;
2. De GGD mensen niet zomaar benadert voor het maken van een afspraak;
3. De GGD op geen enkele manier om financiële gegevens vraagt;
4. Mensen voorzichtig moeten zijn met het plaatsen van persoonlijke informatie op sociale media.
Bron: RTL Nieuws
|